Dostawcy8 min czytania

Dostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSC

Procedura uznania

Art. 67b znowelizowanej ustawy o KSC wprowadza instytucję dostawcy wysokiego ryzyka. Minister właściwy ds. informatyzacji, po zasięgnięciu opinii Kolegium ds. Cyberbezpieczeństwa, może wydać decyzję o uznaniu dostawcy sprzętu lub oprogramowania za dostawcę wysokiego ryzyka. Decyzja ta ma charakter administracyjny i podlega zaskarżeniu.

Postępowanie w sprawie uznania dostawcy za dostawcę wysokiego ryzyka jest wszczynane z urzędu przez ministra. Dostawca jest stroną postępowania i ma prawo przedstawić swoje stanowisko przed wydaniem decyzji.

Kryteria oceny

Przy ocenie, czy dostawca stanowi wysokie ryzyko, minister bierze pod uwagę szereg czynników związanych zarówno z samym dostawcą, jak i z państwem trzecim, z którego dostawca pochodzi. Ocena ma charakter kompleksowy i uwzględnia aspekty techniczne, prawne oraz geopolityczne.

  • Zagrożenia dla bezpieczeństwa narodowego wynikające ze stosowania produktów dostawcy
  • Prawdopodobieństwo wpływu państwa trzeciego na dostawcę (np. obowiązek współpracy z wywiadem)
  • Struktura własnościowa dostawcy i powiązania z rządem państwa trzeciego
  • Zdolność państwa trzeciego do ingerencji w łańcuch dostaw dostawcy
  • Historia znanych podatności i incydentów w produktach dostawcy
  • Posiadane certyfikaty bezpieczeństwa i wyniki audytów
  • Dotychczasowa współpraca dostawcy z organami cyberbezpieczeństwa UE

Obowiązki po wydaniu decyzji

Po wydaniu decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka podmioty kluczowe i ważne mają obowiązek podjęcia działań ograniczających zależność od produktów tego dostawcy. Zakres obowiązków zależy od tego, czy produkty są wykorzystywane w funkcjach krytycznych dla bezpieczeństwa sieci i systemów informacyjnych.

ObowiązekTerminDotyczy
Zakaz wprowadzania nowych produktów dostawcyOd dnia wydania decyzjiWszystkie podmioty KSC
Wycofanie produktów dostawcy7 lat od wydania decyzjiWszystkie podmioty KSC (art. 67c ust. 1 pkt 2)
Wycofanie z funkcji krytycznych (zał. 3)4 lata od wydania decyzjiWyłącznie przedsiębiorcy telekomunikacyjni (art. 67c ust. 2)
Niewykonanie obowiązków wynikających z decyzji o dostawcy wysokiego ryzyka podlega karze pieniężnej na zasadach ogólnych ustawy — do 10 mln EUR dla podmiotów kluczowych i do 7 mln EUR dla podmiotów ważnych.

Jak się przygotować

Nawet jeśli obecnie żaden dostawca nie został uznany za dostawcę wysokiego ryzyka, organizacje powinny zawczasu przygotować się na taką ewentualność. Kluczowe jest unikanie uzależnienia od jednego dostawcy w obszarach krytycznych dla cyberbezpieczeństwa.

  1. Przeprowadź inwentaryzację dostawców sprzętu i oprogramowania w obszarach krytycznych.
  2. Zidentyfikuj zależności od dostawców z państw trzecich spoza UE/NATO.
  3. Opracuj plany migracji dla produktów dostawców o podwyższonym ryzyku.
  4. Uwzględnij klauzule dotyczące dostawcy wysokiego ryzyka w nowych umowach.
  5. Monitoruj komunikaty Ministerstwa Cyfryzacji dotyczące postępowań w sprawie dostawców.
Spis treści
Procedura uznania
Kryteria oceny
Obowiązki po wydaniu decyzji
Jak się przygotować
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.